原文:http://www.cnblogs.com/pioneerlc/archive/2011/05/21/2053052.html
一般来说,在更新DataTable或是DataSet时,如果不采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。
1 string sql = "update Table1 set name = 'Pudding' where ID = '1'"; 2 //未采用SqlParameter 3 SqlConnection conn = new SqlConnection(); 4 conn.ConnectionString = "Data Source=.\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\Database.mdf;User Instance=true";//连接字符串与数据库有关 5 SqlCommand cmd = new SqlCommand(sql, conn); 6 try 7 { 8 conn.Open(); 9 return(cmd.ExecuteNonQuery()); 10 } 11 catch (Exception) 12 { 13 return -1; 14 throw; 15 } 16 finally 17 { 18 conn.Close(); 19 }
上述代码未采用SqlParameter,除了存在安全性问题,该方法还无法解决二进制流的更新,如图片文件。通过使用SqlParameter可以解决上述问题,常见的使用方法有两种,Add方法和AddRange方法。
一、Add方法
1 SqlParameter sp = new SqlParameter("@name", "Pudding"); 2 cmd.Parameters.Add(sp); 3 sp = new SqlParameter("@ID", "1"); 4 cmd.Parameters.Add(sp);
该方法每次只能添加一个SqlParameter。上述代码的功能是将ID值等于1的字段name更新为Pudding(人名)。
二、AddRange方法
1 SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@name", "Pudding"), new SqlParameter("@ID", "1") }; 2 cmd.Parameters.AddRange(paras);
显然,Add方法在添加多个SqlParameter时不方便,此时,可以采用AddRange方法。
下面是通过SqlParameter向数据库存储及读取图片的代码。
1 public int SavePhoto(string photourl) 2 { 3 FileStream fs = new FileStream(photourl, FileMode.Open,FileAccess.Read); 4 //创建FileStream对象,用于向BinaryReader写入字节数据流 5 BinaryReader br = new BinaryReader(fs); 6 //创建BinaryReader对象,用于写入下面的byte数组 7 byte[] photo = br.ReadBytes((int)fs.Length); 8 //新建byte数组,写入br中的数据 9 br.Close();//记得要关闭br 10 fs.Close();//还有fs 11 string sql = "update Table1 set photo = @photo where ID = '0'"; 12 SqlConnection conn = new SqlConnection(); 13 conn.ConnectionString = "Data Source=.\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\Database.mdf;User Instance=true"; 14 SqlCommand cmd = new SqlCommand(sql, conn); 15 SqlParameter sp = new SqlParameter("@photo", photo); 16 cmd.Parameters.Add(sp); 17 try 18 { 19 conn.Open(); 20 return (cmd.ExecuteNonQuery()); 21 } 22 catch (Exception) 23 { 24 return -1; 25 throw; 26 } 27 finally 28 { 29 conn.Close(); 30 } 31 } 32 public void ReadPhoto(string url) 33 { 34 string sql = "select photo from Table1 where ID = '0'"; 35 SqlConnection conn = new SqlConnection(); 36 conn.ConnectionString = "Data Source=.\SQLExpress;Integrated Security=true;AttachDbFilename=|DataDirectory|\Database.mdf;User Instance=true"; 37 SqlCommand cmd = new SqlCommand(sql, conn); 38 try 39 { 40 conn.Open(); 41 SqlDataReader reader = cmd.ExecuteReader();//采用SqlDataReader的方法来读取数据 42 if (reader.Read()) 43 { 44 byte[] photo = reader[0] as byte[];//将第0列的数据写入byte数组 45 FileStream fs = new FileStream(url,FileMode.CreateNew);创建FileStream对象,用于写入字节数据流 46 fs.Write(photo,0,photo.Length);//将byte数组中的数据写入fs 47 fs.Close();//关闭fs 48 } 49 reader.Close();//关闭reader 50 } 51 catch (Exception ex) 52 { 53 throw; 54 } 55 finally 56 { 57 conn.Close(); 58 } 59 } 60 }